Table of Contents

Pour obtenir des conseils sur le problème de solarwinds, veuillez consulter le site suivant DHS , SolarWinds , FireEYE , MSRC , and Microsoft

Pour les utilisateurs avancés, veuillez consulter la page FireEYE Countermeasures Repo sur cette question.

Le SANS propose une bonne vidéo sur le sujet here

Exécutables :

La DLL en question est SolarWinds.Orion.Core.BusinessLayer.dll et a été signé comme une partie légitime de la suite SolarWinds, en contournant les technologies de contrôle des applications. Il est installé en tant que service.

Le code malveillant a été injecté dans une DLL légitime et est chargé en mémoire lors de l’exécution de l’application. Le code s’exécute avant le code légitime. Selon Microsoft, le code est activé lorsque SolarWinds.BusinessLayerHost.exe L’exécutable s’exécute, mais les éléments suivants peuvent également le charger :

  • ConfigurationWizard.exe
  • NetflowDatabaseMaintenance.exe
  • NetFlowService.exe
  • SolarWinds.Administration.exe
  • SolarWinds.BusinessLayerHost.exe
  • SolarWinds.Collector.Service.exe
  • SolarwindsDiagnostics.exe

Informations sur le réseau :

Gamme générale:

  • DNS CNAMEs pour C2 :
    • .appsync-api.eu-west-1[.]avsvmcloud[.]com
    • .appsync-api.us-west-2[.]avsvmcloud[.]com
    • .appsync-api.us-east-1[.]avsvmcloud[.]com
    • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • Plages IP pour C2 :
    • 20.140.0.0/15
    • 96.31.172.0/24
    • 131.228.12.0/22
    • 144.86.226.0/24

Spécifiquement identifié:

  • Noms DNS associés à C2 :
    • 6a57jk2ba1d9keg15cbg.appsync-api.eu-west-1.avsvmcloud[.]com
    • 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud[.]com
    • gq1h856599gqh538acqn.appsync-api.us-west-2.avsvmcloud[.]com
    • ihvpgv9psvq02ffo77et.appsync-api.us-east-2.avsvmcloud[.]com
    • k5kcubuassl3alrf7gm3.appsync-api.eu-west-1.avsvmcloud[.]com
    • mhdosoksaccf9sni9icp.appsync-api.eu-west-1.avsvmcloud[.]com
  • IPs associés à C2 :
    • 13.59.205.66
    • 54.193.127.66
    • 54.215.192.52
    • 34.203.203.23
    • 139.99.115.204
    • 5.252.177.25
    • 5.252.177.21
    • 204.188.205.176
    • 51.89.125.18
    • 167.114.213.199

DLL Locations

  • C:\Program Files (x86)\N-able Technologies\Windows Software Probe\bin\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\Solarwinds\Network Topology Mapper\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\Solarwinds\Network Topology Mapper\Service\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\DPI\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\NCM\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\Interfaces.Discovery\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\DPA\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\HardwareHealth\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\Interfaces\SolarWinds.Orion.Core.BusinessLayer.dl
  • C:\Program Files (x86)\SolarWinds\Orion\NetFlowTrafficAnalysis\SolarWinds.Orion.Core.BusinessLayer.dll
  • C:\Program Files (x86)\SolarWinds\Orion\NPM\SolarWinds.Orion.Core.BusinessLayer.dll

Microsoft Malicious DLL Table:

FireEYE Indicator Table:

Sites Known to Be Hit By SunBurst/SolarFlare: